Kandu.dk - Firewall logs..


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Firewall logs..
Fra : Brian Ipsen

Dato : 28-01-01 20:57

Hej,

Ved besøg på Adaptec's homepage dukker følgende op fra filtrene på min
firewall:

[28/Jan/2001 17:57:40] NAT: Attempt to establish TCP connection through NAT
(in). The following line contains suspicious packet dump:
[28/Jan/2001 17:57:40] NAT: + proto:TCP, len:60, ip+port:167.216.251.36:80
->; 192.168.1.2:62776, flags: SYN ACK , seq:2937347402 ack:1290960736,
win:8760, tcplen:0

192.168.1.2 er det interface, som firewall'en modtager trafik på (via en
Pro@ccess linie).

Firewall'en tillader normal web-trafik (fra port 80 på etablerede
TCP-sessions), så jeg formoder, at ovenstående er noget kommunikation, som
initieres fra Adaptec's server... Eller hvad ??

/Brian

--
Spammers read this: US CODE title 47, chapter 5, sub-chapter 2,
section 227(b)(1)(C), section 227(b)(3)(B) and section 227(b)(3)(C)

Kent Friis (28-01-2001)

Kommentar
Fra : Kent Friis

Dato : 28-01-01 22:06

Den Sun, 28 Jan 2001 20:56:54 +0100 skrev Brian Ipsen:
>Hej,
>
> Ved besøg på Adaptec's homepage dukker følgende op fra filtrene på min
>firewall:
>
>[28/Jan/2001 17:57:40] NAT: Attempt to establish TCP connection through NAT
>(in). The following line contains suspicious packet dump:
>[28/Jan/2001 17:57:40] NAT: + proto:TCP, len:60, ip+port:167.216.251.36:80
>->; 192.168.1.2:62776, flags: SYN ACK , seq:2937347402 ack:1290960736,
>win:8760, tcplen:0
>
>192.168.1.2 er det interface, som firewall'en modtager trafik på (via en
>Pro@ccess linie).
>
> Firewall'en tillader normal web-trafik (fra port 80 på etablerede
>TCP-sessions), så jeg formoder, at ovenstående er noget kommunikation, som
>initieres fra Adaptec's server... Eller hvad ??

Nope.

SYN ACK er svaret på en connect() fra din maskine. Man kunne gætte på,
at pakken er blevet retransmitteret, og det er kopien der er blevet
kasseret.

Mvh
Kent
--
Motion: andet ord for "ondt i fødderne".

Peter Brodersen (29-01-2001)

Kommentar
Fra : Peter Brodersen

Dato : 29-01-01 03:22

On Sun, 28 Jan 2001 20:56:54 +0100, Brian Ipsen <no@spam.mail> wrote:

>[28/Jan/2001 17:57:40] NAT: + proto:TCP, len:60, ip+port:167.216.251.36:80
>->; 192.168.1.2:62776, flags: SYN ACK , seq:2937347402 ack:1290960736,
>win:8760, tcplen:0

Det ligner et helt normalt svar på din SYN fra deres webserver. Når nu
din firewall anklager pakken for at være "suspicious", kan den så ikke
fortælle _hvorfor_, den mener dette?

--
- Pede
Professionel nørd

Søg

Reklame

Statistik

Spørgsmål :	177501
Tips :	31968
Nyheder :	719565
Indlæg :	6408527
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste